بدافزار جدیدی به اسم «لوسیفر» کشف شده که با حمله به تعدادی از حفرههای امنیتی ویندوز، از سیستمهای آلوده به عنوان ابزاری برای استخراج رمزارز و حملات DDoS استفاده میکند.
بر اساس گزارشات به دست آمده گروه تحقیقاتی «Palo Alto Networks Unit 42» دو نسخه از بدافزار لوسیفر را شناسایی کردهاند. هر دوی این بدافزارها با نام Satan DDos شناخته میشوند، اما گروه تحقیقاتی مورد بحث به خاطر تشابه اسمی با Satan Raas تصمیم گرفته نام لوسیفر را برای آن انتخاب کند.
اولین نسخه از این بدافزار پس از دسترسی موفق به آدرس IP واحد فرماندهی و کنترل (C&C) را رمزگشایی کرده و از اطلاعات آن برای ساخت یک شی جهش یافته استفاده کند. پس از آن نیز از کلیدهای رجیستری و تسکهای زمانبندی شده بهره میبرد تا تشخیص دهد آیا در هر کدام از آن کلیدها دادههایی مربوط به استخراج رمزارز ذخیره شده یا نه. در این حین لوسیفر سیستم اشکالزدایی خودش را فعال کرده و از رشتههای متعددی برای پیاده سازی سیستم استخراج خودش استفاده میکند.
لوسیفر از روشهای متعددی برای انتشار و شیوع بدافزار استفاده میکند. تیم تحقیقاتی Unit 42 مشاهده کرده که این بدافزار از تکنیکهای حمله جستجوی فراگیر برای دسترسی به پورتهای مختلف استفاده میکند و همچنین از تعداد قابل توجهی حفره امنیتی بهره میبرد.
عد از این ماجرا، لوسیفر وارد چرخهای بینهایت شده تا به صورت دائمی با سرویس C&C در ارتباط باشد. برقراری این ارتباط به معنای آن است که بدافزار میتواند به خوبی فعالیتهای استخراجی و حملات DDoS خودش را مدیریت کرده و ساختارش را مدام ترمیم کند.
هر دو نسخه لوسیفر عملکردی نسبتا مشابه با یکدیگر دارند؛ این بدافزار به خوبی الزام حیاتی بهروزرسانی سیستمهای امنیتی سازمانهای مختلف را نشان میدهد. آنها میتوانند از تمام آسیب پذیریها و حفرههای امینیتی سیستمهای مدیریتی نهایت بهره را برده و به عملکرد کلی سیستم صدمه وارد کنند.